2. Wie ben ik ?
Jan Guldentops (°1973)
• Dit jaar bouw ik 19 jaar server en netwerk infrastructuren
• Oprichter ULYSSIS (°1994), Better Access (°1996) en
BA (°2003)
• Open Source Fundamentalist (na mijn uren)
• Sterke praktische achtergrond op het vlak van ICT
beveiliging
➢
Ben toevalling terechtgekomen in de securitywereld
➢
1996 beroepskrediet
Breng veel tijd door in het labo / R&D (vooral security)
11. Datacommunicatie
● Wifi
● is overal
● is quasi een mensenrecht geworden!
● Mobile data
● is betaalbaar geworden
● is enorm geëvolueerd
– 1G 2400 bauds
– 2G 9600 bauds
– 3G 384Kbit
– 4G theoretisch 100Mbit -> eerder 25Mbit
– Toekomst: tot 1Gbit
● Coverage :
– 64% Belgen hebben4G ( Proximus )
12. Appstores in the cloud
● Software-as-a-service
● Gerund vanuit een cloud infrastructuur
● Alle voordelen van dien :
– Pay what you use
– Elastisch
– Geen eigen infrastructuur
– Etc.
● Appstores
● Hele ecosystemen
● Revolutie in de software-wereld
● Er is voor alles een app die je met een swipe kan kopen.
13. Mobilisatie
● De perimeter is volledig verdwenen
● Mensen willen van overal met allerlei toestellen
werken
● Enorme consequenties op het vlak van :
● Netwerk
● Authenticatie
● Veiligheid
● Dataleakage
● Etc.
14. Consumerism
● Eindgebruiker zit in de driving seat
● Mobile device is een verlengstuk van je
persoonlijkheid,van wie je bent.
– Bring your own device
● Kopen zelf apps en gebruiken die
● Zij bepalen wat ze willen en wat er gaat
gebeuren.
15. Risico's
● Focus op mobiele toestellen en hun
toepassingen
● Smartphones
● Tablets
● Maar dit geld ook voor alle andere, minder sexy
mobiele devices
● Datadragers
● Laptops
16. Toegang tot het toestel
● Niveau 1: is je toestel vrij toegankelijk ?
● m.a.w. Iedereen die het in handen krijgt, kan ermee aan de slag.
● Niveau 2: afschermen van het toestel
● Pincode
● Password
● Schermvergrendeling met patronen
● Biometrie
– Face unlock
– Touchid ( fingerprint )
– Anderen :
● Iris
17. Te omzeilen
● Pincode raden – zien –
vragen
● Biometrie
● TouchID
– Geen sterke authenticatie
maar handig!
● Gezichtsherkenning
– Krissler
● Irisscan's
18. Gestolen / verloren toestel
● Data in rust
● Duidelijk leesbaar ?
● Forensic tools
– https://santoku-linux.com/
● Remote wipe
● Ben je in staat om de data te wissen ?
● Toestel op te sporen / traceren ?
20. Software van toestel zelf
● Is de software up-to-date ?
● Recente bugs in IOS, Android, etc.
– e.g. Man-in-the-middle attack vector voor IOS
● Jailbreaking ?
● Zorg dat de toestellen altijd up-to-date gehouden worden.
● Antivirus ?
● Zin en onzin ?
– Meeste zijn slecht van kwaliteit, spinoff producten
● Google: antivirus is onzin in 99% gevallen !
21. Malware / malicous apps
● Wat kan er misgaan ?
● Reklame
● De gegevens van en op het
toestel doorsturen
● SMSsen sturen
● Telefoongesprekken
opnemen
● Nog meer miserie creeëren
● Camera activeren
– Foto’s nemen
22. Malicous Apps
● Google Play / Apple Appstore
● In theorie doen ze quality control
● Tekenen applicaties.
● MAAR: omzeilbaar, slaan de bal er ook geregeld naast.
● Wil nog niet zeggen dat de apps echt veilig zijn :
● Data in rust?
● Veilige communicatie ?
● Security/problemen/updates
23. HTML5
● Actieve content toevoegen aan webpagina's
● Stelt je webcontent in staat om te praten met de
hardware van je omgeving
● Enorme mogelijkheden :
– e.g. Awingu
● Maar nieuwe attack vector
24. Backend
● Niet alleen apps moeten veilig zijn, ook het
backend waar ze mee communiceren !
25. Pas op met WIFI
● WIFI is een mensenrecht geworden
● Wanneer je naar een AP connecteert :
● Wie luister er mee ?
– Sniffing
● Ideale phishing toepassing
– Rogue Access Points
● Aanvallen op je systeem vanop die WIFI
27. Waar moet je rekening mee
houden?
● Hou rekening met de risico's
● Denk na
● Beschouw mobile devices niet als iets
speciaals maar als toestellen als alle anderen.
● Opnemen in de security policy
● Gestructureerd beveiligen, eventueel met een
MDM oplossing
28. Eigen apps ontwikkelen
● Kies je development-tools en libraries goed !
● Kwaliteit, updates, begeleiding, crossplatform, etc.
● e.g. Recente problemen met openssl, libc, etc.
● Data op toestellen zelf
● Encrypted, zo beperkt mogelijk
● In eigen sandbox
● Veilige, geëncrypteerde applicaties
● Update-mechanisme
● Eventueel in een MDM omgeving of een Enterprise App store
● Testen en permanente verbeteringstrajecten
29. Internet of things
● Alles heeft vandaag de dag een ip-adres en wordt
aan het internet gehangen :
● Auto's
● Camera's
● Gebouw beheerssystemen
● Liften
● Telefoons / videoconferencing
● Veel van de omgevingen zijn hier niet klaar voor !
Belangrijk om te onthouden :
2 manieren waarop wij werken met lokale besturen :
Leveren van volledige oplossingen
Leveren van huurlingen : consultants die tijdelijk de kennis van de ict-manager aanvullen
Leveren van technische ondersteuning en troubleshooting
Leveren oplossingen aan lokale besturen sinds 1996
1993 Apple Newton
1995 IBM Simon
1996 Palm Pilot
1999 Nokia 7110
Windows CE / Pocket PC
Geen doorbraken – waarom ?
Vaak heel slechte producten
Je moest vaak James Bond zijn om ze te gebruiken
Gesloten ecosystemen
Nauwelijks applicaties
Datacommunicatie was een ramp
Geen - cradle
2400 – 9600 baud